مجله خبری هاست ایران » شبکه » GDPR چیست؟ همه‌چیز دربارهٔ مقررات حفاظت از اطلاعات عمومی
امنیت شبکه

GDPR چیست؟ همه‌چیز دربارهٔ مقررات حفاظت از اطلاعات عمومی

GDPR چیست

در ژانویه ۲۰۱۲، کمیسیون اروپا طرح‌هایی تنظیم کرد و برای حفاظت اطلاعات در سراسر اتحادیه اروپا اصلاحاتی انجام داد تا اروپا را برای عصر دیجیتال آماده سازد. تقریباً چهار سال بعد، بر سر مفاد آن و نحوهٔ اجرای آن توافقی حاصل شد.

یکی از مهم‌ترین اصلاحات انجام‌شده، معرفی General Data Protection Regulation مقررات حفاظت از اطلاعات عمومی (GDPR) است. این چارچوب جدید اتحادیه اروپا برای همهٔ سازمان‌ها در کشورهای عضو اتحادیهٔ اروپا لازم‌الاجرا است. و بر کسب‌وکارها و اشخاص اتحادیهٔ اروپا (و برخی مناطق دیگر) تأثیرگذار است.

در دسامبر ۲۰۱۵ میلادی، پس از حاصل شدن توافق‌نامه، آقای Andrus Ansip، نایب‌رئیس Digital Single Market دراین‌باره گفت: «آیندهٔ دیجیتالی اروپا تنها می‌تواند بر پایهٔ اعتماد بنا شود. با استانداردهای جامع و دقیق برای حفاظت اطلاعات، مردم می‌توانند مطمئن باشند که کنترل اطلاعات شخصی خود را در دست دارند.»

GDPR چیست؟

به‌طورکلی، GDPR مجموعه‌ای از قوانینی است که سبب می‌شود شهروندان اتحادیه اروپا کنترل بیشتری بر روی اطلاعات شخصی خود داشته باشند. هدف از آن، ساده‌سازی محیط نظارتی برای کسب‌وکارها است. در این صورت هر دو گروه شهروندان و کسب‌وکارهای فعال در اتحادیه اروپا از مزایای اقتصاد دیجیتالی به‌طور کامل بهره‌مند می‌شوند.

این اصلاحات برای تأثیر برجهان پیرامون ما تدوین‌شده‌اند و باعث می‌شود در عصر اینترنت، قوانین و مقررات اتحادیهٔ اروپا (ازجمله در زمینه‌های اطلاعات شخصی، حریم خصوصی و اجازه‌نامه‌ها) با سرعت بیشتری توسعه یابند.

تقریباً همهٔ جوانب زندگی ما با اطلاعات در ارتباط است. از هر خدماتی که استفاده می‌کنیم با جمع‌آوری و تحلیل اطلاعات شخصی ما انجام می‌شود؛ ازجمله خدماتی که از شرکت‌های شبکه‌های اجتماعی، بانک‌ها، خرده‌فروشان، دولت‌ها و غیره دریافت می‌کنیم. نام شما، آدرس، شمارهٔ کارت‌بانکی و موارد دیگر همگی جمع‌آوری و تحلیل می‌شوند و از آن مهم‌تر اغلب توسط مؤسسات و سازمان‌ها ذخیره می‌شوند.

پذیرش GDPR به چه معنا است؟

قانون gdpr

تخلفات اطلاعاتی اجتناب‌ناپذیر است. ممکن است اطلاعات گم یا دزدیده شوند؛ یا آن اطلاعات ناخودآگاه به دست افرادی بیفتد که انتظار آن را نداشته‌اند؛ که این افراد معمولاً اهداف خرابکارانه دارند.

طبق شرایط GDPR، نه‌تنها سازمان‌ها مجبور به جمع‌آوری اطلاعات افراد به‌صورت قانونی و تحت شرایط مشخص هستند، بلکه اشخاص مسئول جمع‌آوری و مدیریت این اطلاعات نیز موظف‌اند تا از سوءاستفاده و بهره‌برداری نامناسب این اطلاعات محافظت کنند تا حقوق صاحبان این اطلاعات رعایت شود. در غیر این صورت جرائمی برای آنان در نظر گرفته خواهد شد.

GDPR شامل چه کسانی خواهد شد؟

این مقررات شامل سازمان‌هایی است که در اتحادیه اروپا فعالیت می‌کند. همچنین هر سازمانِ خارج از اتحادیه اروپا که کالا یا خدماتی برای مشتریان/کسب‌وکارها در اتحادیه اروپا فراهم می‌کند، مشمول این قانون خواهد شد. درنهایت یعنی تقریباً هر شرکت بزرگ در جهان باید آمادهٔ رویارویی با GDPR باشد و باید برای همگامی و پذیرش GDPR اقدامات مناسب را انجام دهد.

دو گروه از داده‌پردازان وجود دارند که این قانون شامل آن‌ها می‌شود: یکی «پردازشگرها» و دیگری «کنترل‌کننده‌ها» هستند. تعریف هرکدام از این دو مورد در مادهٔ ۴ مقررات حفاظت از اطلاعات عمومی بیان‌شده است.

«کنترل‌کننده» شخص، مقام دولتی، نماینده یا هر شخص دیگری است که به‌تنهایی یا به‌صورت مشترک با دیگران، اهداف و ابزار پردازش اطلاعات شخصی را تعیین می‌کند. «پردازشگر» شخص، مقام دولتی، نماینده یا هر شخص دیگری است که از طرف کنترل‌کننده اطلاعات را پردازش می‌کند.


مقاله مرتبط: با رعایت این نکات حریم خصوصی خود را در اینترنت ایمن نگه دارید


دفتر مسئولین اطلاعاتی (ICO) انگلستان و مسئول ثبت‌نام کنترل‌کننده‌های اطلاعات و از عوامل حفاظت اطلاعات و جلوگیری از سوءاستفادهٔ اطلاعات دراین‌باره می‌گوید: «اگر از طرف شما نقضی اتفاق بیفتد، مسئولیت و بدهی بسیار سنگینی متوجه شما خواهد شد. طبق GDPR، این تعهدات یکی از الزامات جدید برای «پردازشگرها» است.»

GDPR مسئولیت‌های قانونی را بر عهدهٔ پردازشگر می‌گذارد تا از اطلاعات شخصی افراد و نحوهٔ پردازش آن‌ها محافظت کند. همچنین مسئولیت‌های قانونی سطح بالاتری برای دسترسی به اطلاعات بر عهدهٔ سازمان‌ها می‌گذارد.

«کنترل‌کننده‌ها» نیز مجبور می‌شوند تا قراردادهای خود با «پردازشگرها» را مطابق GDPR انجام دهند.

منظور از اطلاعات شخصی در GDPR چیست؟

اطلاعاتی که طبق قوانین موجود در زمرهٔ اطلاعات شخصی قرار می‌گیرد شامل نام، آدرس و عکس است. GDPR تعریف کامل‌تری برای اطلاعات شخصی ارائه می‌دهد؛ مثلاً IP نیز جزو اطلاعات شخصی محسوب می‌شود. همچنین اطلاعات حساس‌تری همچون اطلاعات ژنتیکی و اطلاعات زیستی را نیز شامل می‌شود که به‌وسیلهٔ آن‌ها قابلیت شناسایی یک شخص بخصوص وجود دارد.

GDPR در چه زمانی اجرایی شده است؟

زمان اجرای GDPR

GDPR از تاریخ ۲۵ مه ۲۰۱۸ (۴ خرداد) در سراسر اتحادیه اروپا اعمال‌شده است و انتظار می‌رود همه کشورهای عضو تا ۶ ماه مه سال ۲۰۱۸ آن را به قانون ملی خود منتقل کنند.

پس از چهار سال گفتگو و آماده‌سازی، در آوریل ۲۰۱۶ GDPR توسط پارلمان اروپا تصویب شد و در ماه می ۲۰۱۶، متن رسمی و مقررات این دستورالعمل به تمام زبان‌های رسمی اتحادیه اروپا منتشر شد.

مهلت نهایی برای پذیرش GDPR چه زمانی است؟

انتظار می‌رود تا تاریخ ۲۵ می ۲۰۱۸ همهٔ سازمان‌ها از GDPR پیروی کرده باشند.

تأثیر خروج بریتانیا از اتحادیهٔ اروپا (برگزیت) بر روی GDPR چیست؟

قرار است بریتانیا در تاریخ ۲۹ مارس ۲۰۱۹، ده ماه پس از اجرایی شدن GDPR، از اتحادیه اروپا خارج شود. دولت انگلستان گفته است که این اتفاق بر اجرای GDPR تأثیری نخواهد داشت؛ علی‌رغم اینکه کشور از اتحادیهٔ اروپا خارج خواهد شد، اما GDPR برای کشور انگلستان مفید است. بنابراین برگزیت در الزامات موردنیاز سازمان‌ها برای پیروی از GDPR تأثیری نخواهد داشت.

GDPR بر کسب‌وکارها چه تأثیری دارد؟

GDPR یک قانون برای سراسر اروپا در نظر گرفته است و یک سری مقررات برای شرکت‌هایی وضع‌شده است که قصد تجارت با اعضای اتحادیهٔ اروپا دارند. یعنی این قانون فراتر از مرزهای اروپا را نیز در برمی‌گیرد؛ و سازمان‌ها و شرکت‌های بین‌المللی که قصد فعالیت در خاک اروپا دارند نیز باید از این قانون اطاعت کنند.

انتظار می‌رود با وضع قانون GDPR مزایایی برای کسب‌وکارها ایجاد شود. سازمان European Commission بیان می‌دارد که با داشتن فقط یک مقام نظارتی برای کل اتحادیهٔ اروپا، کسب‌وکارها می‌توانند راحت‌تر و ارزان‌تر در این منطقه فعالیت کنند. درواقع، این کمیسیون ادعا می‌کند که باوجود GDPR سالانه ۲/۳ میلیارد یورو در اروپا صرفه‌جویی خواهد شد.


مقاله مرتبط: مخترع وب از سه تهدید جدی در خصوص آینده این شبکه می‌گوید


همچنین این کمیسیون می‌گوید: «یکی شدن قوانین اروپا درزمینهٔ حفاظت اطلاعات، بیان‌کنندهٔ این واقعیت است که قانون گذران نوآوری را تشویق می‌کنند و باعث خلق فرصت‌هایی درزمینهٔ کسب‌وکار می‌شوند.»

به گفتهٔ آن‌ها، این مقررات باعث افزایش ایمنی حفاظت اطلاعات می‌شود. مقرراتی که از همان مراحل اولیه مختص محصولات و خدماتی ایجاد شدند و موضوع «حفاظت اطلاعات از طریق طراحی» را در میان محصولات و فناوری‌های جدید مطرح کردند.

همچنین سازمان‌ها را تشویق می‌کنند تا به‌جای استفاده از مشخصات اصلی افراد، از تکنیک‌هایی مانند مستعار گزینی (pseudonymization) استفاده کنند تا بتوانند از مزایای جمع‌آوری و تحلیل اطلاعات بهره‌مند شوند و هم‌زمان امنیت مشتریان خود را نیز تأمین کنند. (هرچند برخی افراد معتقدند که با توجه به تعداد دستگاه‌های متصل شده در جهان، این موضوع خیلی دیر مطرح‌شده است.)

GDPR چه تأثیری بر شهروندان و مشتریان دارد؟

در سال‌های گذشته تعداد زیادی تخلفات اطلاعاتی و هک رخ‌داده است، که متأسفانه در بسیاری از موارد، آن اطلاعات در اینترنت نیز منتشرشده‌اند. اطلاعاتی مانند آدرس ایمیل، رمز عبور، کد امنیتی شبکه‌های اجتماعی.

یکی از تغییرات اساسی GDPR این است که برای مصرف‌کنندگان خدمات یا محصولات، این حق را قائل شده است که از هک شدن اطلاعات خود مطلع شوند. سازمان‌ها موظف‌اند در اسرع وقت مسئولان دولتی را مطلع کنند تا از این طریق شهروندان اتحادیهٔ اروپا بتوانند برای جلوگیری از سوءاستفاده از اطلاعاتشان اقدامات لازم را انجام دهند.


مقاله مرتبط: کدام سایت ها از شما جاسوسی می کنند؟


همچنین به مصرف‌کنندگان این وعده داده‌شده است تا به نحوهٔ پردازش اطلاعات شخصی خود راحت‌تر دسترسی داشته باشند. سازمان‌ها نیز باید جزئیات استفاده از اطلاعات مشتریان را کاملاً واضح و قابل‌فهم برای آن‌ها تشریح کنند.

برخی سازمان‌ها پیش‌ازاین برای اطمینان از این موضوع، اقداماتی انجام داده‌اند. مثلاً اقدامات کوچکی مانند ارسال ایمیل که در آن نحوهٔ استفاده از اطلاعات کاربران برای آن‌ها تشریح شده است و درصورتی‌که کاربران تمایلی به استفاده از اطلاعاتشان نداشته باشند، می‌توانند از آن خدمات یا محصول انصراف دهند. بسیاری از سازمان‌ها، مثلاً در حوزه‌های خرده‌فروشی و بازاریابی، از مشتریان خود پرسیده‌اند که آیا مایل‌اند در بانک اطلاعاتی آن‌ها باقی بمانند یا خیر.

طبق شرایط جدید، مشتریان باید راهی آسان برای حذف اطلاعات خود از لیست ایمیلی داشته باشند. درحالی‌که برخی مشاغل برای حصول اطمینان از رعایت کامل شرایط GDPR اقدامات بیشتری نیز انجام داده‌اند. مخصوصاً در مواردی که موضوع رضایت مشتریان نیز مطرح می‌شود.

GDPR الزام کرده است تا فرآیند «حق فراموشی» کاملاً مشخص باشد. طبق این حق قانونی، به افراد این حق و آزادی داده می‌شوند تا از سازمان‌ها بخواهند بخشی از اطلاعات شخصی و پردازش‌شدهٔ خود را کاملاً محو کنند و تحت هیچ شرایطی نگه‌داری نکنند.


مقاله مرتبط: چگونه ردپای دیجیتالی‌مان را از دنیای اینترنت کاملاً حذف کنیم


با اجرایی شدن GDPR، سازمان‌ها موظف‌اند این حق را برای مشتریان خود قائل شوند.

آیا ایمیل‌های امنیتی از طرف شرکت‌های واقعی ارسال می‌شوند؟ آیا می‌توانند کلاه‌برداری باشند؟

سازمان‌های کوچک و بزرگ فعال در همهٔ زمینه‌ها ایمیل‌هایی برای مشتریان خود می‌فرستند و از آن‌ها برای ماندن در لیست دریافت‌کنندگان پیام و آگهی‌های تبلیغاتی سؤال می‌کنند. در اغلب اوقات مشتریان با کلیک کردن بر روی قسمتی از ایمیل، علاقهٔ خود را برای ادامهٔ ارتباط با شرکت اعلام می‌کنند.

هم‌زمان که بسیاری از سازمان‌ها ایمیل‌های خود را تحت شرایط GDPR ارسال می‌کنند، مجرمان و کلاه‌برداران نیز از این فرصت استفاده کرده‌اند و با قصد فریفتن افراد برای آن‌ها ایمیل می‌فرستند.

محققان Redscan به یکی از حیله‌های کلاه‌برداران پی برده‌اند. در این روش کلاه بردان خود را شرکت Airbnb معرفی می‌کنند و به کاربر می‌گویند که در صورتی می‌توانند پیام ارسال کنند یا از خدمات آن‌ها استفاده کنند که سیاست حفظ حریم خصوصی جدید را بپذیرند. مهاجمان به‌طور خاص سیاست جدید حفظ حریم خصوصی EY را دلیل ارسال پیام عنوان می‌کنند.

افرادی که در پشت پردهٔ این حیله‌ها هستند با سوءاستفاده از GDPR اطلاعات را سرقت می‌کنند. (درحالی‌که پیام متعلق به Airbnb تقاضای هیچ‌گونه اطلاعاتی ندارد.) از این افراد خواسته‌شده است تا اطلاعات شخصی خود، ازجمله اطلاعات کارت اعتباری و اطلاعات پرداخت خود را برای آن‌ها بفرستند.

بعید به نظر می‌رسد فقط همین یک مورد، تلاش کلاه‌برداران برای فریب افراد بر مبنای GDPR باشد.

اطلاعیهٔ نقض GDPR چیست؟

نقض GDPR

با اجرایی شدن GDPR همهٔ سازمان‌ها موظف شده‌اند تا انواع تخلفات صورت گرفته و نقض اطلاعاتی مربوط به دسترسی غیرمجاز انجام‌شده یا از بین رفتن اطلاعات شخصی را به مسئول نظارتی بالاتر گزارش دهد. در برخی موارد، افرادی که اطلاعاتشان مورد سوءاستفاده قرارگرفته است نیز باید مطلع شوند.

به‌عبارت‌دیگر، اگر نام، آدرس، تاریخ تولد، وضعیت سلامتی، اطلاعات بانکی یا هرگونه اطلاعات شخصی یا خصوصی مشتریان مورد نقض قرار گیرد، آنگاه سازمان موظف است به افراد صاحب اطلاعات و همچنین دستگاه نظارتی مرتبط با آن گزارش دهد؛ تا از این طریق آسیب‌های احتمالی محدودتر شوند.

برای این کار نیاز است تا از نوتیفیکیشن استفاده و تخلف صورت گرفته اعلام گردد. ضمن اینکه پیام باید مستقیماً به قربانیان این تخلف ارسال شود. یعنی اطلاعات مربوط نباید فقط از طریق اخبار و مطبوعات، شبکه‌های اجتماعی یا وب‌سایت شرکت انجام شود. بلکه باید از طریق ارتباط یک‌به‌یک به هر فرد اطلاع داده شود.

طبق GDPR، چه زمانی لازم است تا نوتیفیکیشن تجاوز اطلاعاتی گزارش شود؟

۷۲ ساعت پس از یافتن اولین نشانه‌های نقض اطلاعاتی، سازمان‌ها موظف‌اند تخلف صورت گرفته را به هیئت نظارتی مربوطه گزارش دهند. در ضمن، اگر تخلف اطلاعاتی برای مشتریان خطرناک یا فراگیر باشد، طبق قانون GDPR مشتریان باید بدون هیچ‌گونه تأخیر اقدامات مناسب را انجام دهند.

عدم پیروی از GDPR چه جریمه و مجازاتی را در بر خواهد داشت؟

عدم پیروی از GDPR می‌تواند به جریمه‌ای بین ۱۰ میلیون یورو یا چهار درصد از درآمد سالیانه شرکت منجر شود؛ رقمی که برای برخی شرکت‌ها می‌تواند میلیاردها دلار باشد.

میزان جریمه به میزان تخلف و به میزان جدیت شرکت در اجرای مصوبه و مقررات امنیتی نیز بستگی دارد.

درصورتی‌که حقوق اطلاعاتی افراد نقض شود، اطلاعات شخصی آن‌ها به‌صورت غیرمجاز انتقال یابد یا روشی جایگزین برای دسترسی به اطلاعات وجود نداشته باشد آنگاه شرکت متخلف حداکثر ۲۰ میلیون یورو یا چهار درصد از حجم معاملات خود در سراسر جهان جریمه می‌شوند.

درصورتی‌که شرکت سایر تخلفات اطلاعاتی را انجام دهد، به میزان کمتر از ۱۰ میلیون یورو یا دو درصد از حجم معاملات خود در سراسر جهان جریمه خواهد شد. برخی از این تخلفات عبارت‌اند از: عدم گزارش نقض اطلاعات، عدم طراحی مناسب برای حفظ امنیت، عدم اولویت حفاظت اطلاعات در اجرای پروژه و عدم استفاده از یک فرد ماهر برای حفاظت از اطلاعات. در کل سازمان باید دقیقاً مطابق GDPR عمل کند.

اطلاعیهٔ نقض GDPR شامل چه مواردی است؟

از دست رفتن اطلاعات یک شرکت دلایل مختلفی دارد؛ ممکن است به خاطر حملهٔ سایبری باشد، خطاهای انسانی یا هر عامل دیگری باشد. بنا به هر دلیلی، شرکت موظف است اطلاعیهٔ نقض اطلاعاتی را منتشر کند.

این اطلاعیه باید شامل اطلاعات تقریبی در مورد نقض باشد. ازجمله: نوع اطلاعات ازدست‌رفته و تعداد اشخاصی که اطلاعاتشان ازدست‌رفته است و همچنین تعداد اطلاعات هر فرد که مورد سوءاستفاده قرارگرفته است. مورد آخر به این دلیل است که امکان دارد برای هر فرد چند نوع داده وجود داشته باشد.

سازمان‌ها باید در مورد عواقب احتمالی نقض اطلاعات مانند سرقت پول یا جعل هویت توضیحی ارائه دهند. همچنین باید در مورد اقدامات لازم برای مقابله با نقض اطلاعات نیز توضیحاتی ارائه دهند و خطرات احتمالی برای هر شخص را بیان کنند.

علاوه بر این، باید اطلاعات تماس مسئول حفاظت اطلاعات یا هر شخص مرتبط با تخلفات اطلاعاتی را ارائه کنند.

آیا وجود مسئول حفاظت اطلاعات ضروری است؟

طبق شرایط GDPR، وجود مسئول حفاظت اطلاعات (DPO) در صورتی ضروری است که شرکت اطلاعات خاصی را پردازش می‌کند یا فعالیت تعداد زیادی از کاربران را زیر نظر دارد. مثلاً عملکرد و نحوه تعامل مشتریان را زیر نظر دارد.

برای سازمان‌های دولتی، یک فرد (DPO) می‌تواند مسئولیت چندین ارگان را بر عهده بگیرد. برای سایر سازمان‌ها نیز اجباری در استفاده از یک DPO جداگانه نیست، اما همهٔ سازمان‌ها باید اطمینان حاصل کنند که مهارت‌های کافی و کارکنان متخصصی دارند تا فعالیت‌هایشان را با قوانین GDPR سازگار کنند.

معیارهای مشخصی برای شخص DPO اعلام‌نشده است و در مورد مدارک آن‌ها حرفی زده نشده است. اما ظاهراً DPO ها باید تجربهٔ حرفه‌ای داشته باشند و با قانون حفاظت اطلاعات آشنایی داشته باشند تا بتوانند نحوهٔ فعالیت‌های سازمان را بفهمند.

درصورتی‌که طبق GDPR وجود مسئول حفاظت اطلاعات ضروری باشد اما شخصی برای این کار انتخاب‌نشده باشد، یک نوع تخلف از قانون شناخته و شرکت مشمول جریمه خواهد شد.

آیا سازگاری با GDPR مشکل است؟

GDPR ممکن است به نظر پیچیده باشد، اما حقیقت این است که در بیشتر موارد، این قانون اصولی را دربر دارد که در حال حاضر بخشی از قانون حفاظت از داده‌های انگلستان است.

بااین‌حال، موارد بیشتری در GDPR وجود دارند. مثلاً نوتیفیکیشن نقض اطلاعاتی یا الزام در انتصاب مسئول حفاظت اطلاعات از این موارد است که در صورت عدم رعایت آن‌ها سازمان با خطر جریمه مواجه خواهد شد.


مقاله مرتبط: چین قانون بحث بر انگیز امنیت سایبری را تصویب کرد


برای تبعیت از GDPR هیچ راه‌حل یکتایی برای همهٔ سازمان‌ها وجود ندارد. هر سازمان برای سازگاری با GDPR باید مجوزهای موردنیاز را کسب کند و اقدامات مختص به خود را انجام دهد. همچنین باید فردی برای کنترل اطلاعات و مسئول حفاظت اطلاعات قرار دهد تا با اطمینان کامل به فعالیتش ادامه دهد.

ICO انگلستان گفته است: «از شما انتظار می‌رود مقررات را کاملاً جامع و درعین‌حال متناسب با معیارهای موجود انجام دهید.» همچنین «در کل باید اقدامات شما احتمال نقض اطلاعات را کاهش دهد و حفاظت اطلاعات را تضمین کند. در عمل، یعنی سازمان‌ها باید ترفندها و دستورالعمل‌های بیشتری به‌کارگیرند. اگرچه بسیاری از سازمان‌ها سیاست‌های درستی را در پیش‌گرفته‌اند.»

یک فرد در یک کسب‌وکار کوچک می‌تواند مسئول اقدامات مرتبط با GDPR باشد یا در یک شرکت چندملیتی نیاز است تا یک دپارتمان مسئول اجرای این کار باشد. درهرصورت برای انجام این کار به کارکنان، بودجهٔ کافی و سیستم نیاز است.

تحت قوانین GDPR که باعث ارتقای مسئولیت‌پذیری و نظارت بر سازمان‌ها می‌شود، شرکت‌ها موظف‌اند اقدامات فنی و مدیریتی مناسبی انجام دهند. یعنی باید شرایط محافظت از اطلاعات را انجام دهند (آموزش کارکنان، شفاف‌سازی فرآیندهای داخلی و بررسی سیاست‌های مرتبط با نیروی انسانی). همچنین باید پردازش‌های انجام‌شده مستندسازی شوند. ترفندهای دیگری نیز وجود دارد. مثلاً سازمان‌ها می‌توانند حجم داده‌ها را کاهش دهند و از مستعار سازی اطلاعات استفاده کنند. یا اینکه پردازش اطلاعات تحت نظارت کامل باشد.

در راستای پیروی از GDPR برخی مؤسسات مانند ICO راهنمایی‌های کلی ارائه داده‌اند. همهٔ سازمان‌ها باید اطمینان حاصل کنند که همه ارزیابی‌های ضروری را برای GDPR انجام داده‌اند؛ یا باید پذیرای جرائم احتمالی باشند.

باوجود GDPR چه تغییراتی به وقوع پیوسته است؟

با اجرای GDPR بسیاری از شرکت‌ها به مشتریان ایمیل می‌فرستند و از آن‌ها می‌خواهند تا سیاست‌های حریم خصوصی و رضایت‌نامه جدید را بپذیرند. تعداد ایمیل‌ها به حدی زیاد بوده است که بسیاری از کاربران اینترنتی را خسته کرده است.

با اجرای GDPR برخی از سازمان‌ها و پلتفرم‌ها ازجمله رسانه‌های اجتماعی فعالیت خود را متوقف کرده‌اند. یکی از این رسانه‌ها Klout است؛ اگرچه رسماً دلیل توقف فعالیت خود را GDPR اعلام نکرده است. موارد دیگری نیز وجود دارند که فعالیت‌های خود را برای کاربران اروپایی متوقف یا محدود کرده‌اند.

کاربران اروپایی که به وب‌سایت‌های مشهور خبری آمریکایی ازجمله شیکاگو تایمز، LA Times و Baltimore Sun مراجعه می‌کردند، متوجه شدند در روز ۲۵ می امکان دسترسی به این سایت‌ها وجود ندارد که دلیل آن‌هم GDPR ذکرشده است.

در وب‌سایت لوس‌آنجلس تایمز نوشته‌شده است: «متأسفانه وب‌سایت ما در حال حاضر در اکثر کشورهای اروپایی در دسترس نیست. ما در حال تلاش و بررسی گزینه‌های مختلف برای ارائهٔ خدمات دیجیتال خود در اتحادیه اروپا هستیم.»

اظهارات مشابهی نیز در نشریات خبری مانند Lee Enterprises و Tronc منتشر شد.

ممانعت کاربران برای دسترسی به خدمات –حداقل در شرایط کنونی- ارزش صرف هرگونه هزینه را دارد تا بتوان از جرائم احتمالی جلوگیری شود. اما همچنان این سؤال باقی است که چه بر سر اطلاعات کاربران می‌آید؟

افزودن دیدگاه

کلیک برای ثبت دیدگاه